나도 모르는 카드가 발급됐다고?

진화하는 문자 스미싱, URL말고 전화번호도 조심

갑작스럽게 문자 한 통을 받았다

[우리카드] 10/5
고객님 카드(1957) 개통완료
고객님 개통내용이 아닌경우 즉시신고바랍니다.
접수 및 문의: 1588-****

너무도 당황한 나머지 우리카드앱에 접속했다. 하필이면 우리카드앱이 켜지지 않고 자꾸 꺼졌다. 조바심이 났다.

'뭐지??? 왜 이러지??? 내 폰이 감염된 건가?'

불안한 마음에 구글플레이로 들어가서 우리카드앱을 검색했다. '업데이트' 이슈여서 앱이 제대로 작동하지 않은 것이었다.

'하... 정말... 꼭 이럴 때.....'

업데이트하고 나니 우리카드앱이 정상 접속이 됐다. 발급내역 조회를 누른 뒤 '신규 발급내역이 없습니다'란  메시지를 확인하고 나서야 안심할 수 있었다.

놀란 가슴을 가다듬고
구글 검색창에
'우리카드 스미싱'을 검색했다

그리고 알게 됐다. 문자 스미싱에 꼭 URL이 아니라 요즘은 전화번호를 남겨서 낚는다는 사실을 말이다.

우리카드, 신한카드 스미싱 문자

모바일 알약M에 신고된
문자스미싱 내역

알약이스크 시큐리티에서는 알약모바일에서 접수된 문자 스미싱 내역을 취합해서 데이터를 제공해주고 있었다.

알약이스트시큐리티에 따르면, 알약M 사용자가 '신고하기' 기능을 통해 알약으로 신고한 문자 스미싱 내역은 다음과 같다.

ⓒ이스트시큐리티(https://blog.alyac.co.kr/5199)

ⓒ이스트시큐리티(https://blog.alyac.co.kr/5213?category=750250)

전화번호로 어떻게 스미싱이 가능할까?

최근에 자동차 보험회사라고 전화를 받은 적이 있었다. 마침 자동차 보험 갱신 시기가 도래해서 아무런 의심 없이 통화를 했는데, 통화하다가 너무도 이상한 부분이 있어 "죄송하지만, 다이렉트 홈페이지에서 제가 직접 살펴보겠다"며 양해를 구하고 전화를 끊었던 경험이 있다.

당시 경험을 토대로 시나리오를 구성해 보면 이렇다.

스미싱 낚는 시나리오(예상)

(1) 문자를 보고 낚인 사람이 해당 문자에 적힌 [접수 및 문의] 전화번호로 전화를 건다.

(2) 상담원인 척하는 스미싱 일원이 전화를 받는다

(3) 상담원인 척하는 스미싱 일원이 본인 확인을 하겠다며 개인정보를 묻는다.

(4) 이름/생년월일/현재 주소는 일반적으로 상담할 때 개인정보 확인을 위해 묻는 것이기 때문이다.

(5) 여기서 상담원인 척하는 스미싱 일원은 추가적으로 더 개인정보를 캐내야 한다. 그래야 정말로 내 신용카드를 탈취할 수 있다.

(5) 개인정보 보호가 강화됐다며 '주민번호 뒷자리'를 확인하려 할 것이다.

-> 절대로 주민번호 뒷자리를 말해줘서는 안 된다.

(6) 카드가 발급됐거나 카드발급 조회를 하기 위해 또는 어떤 핑계를 대서든 카드 비밀번호를 물을 것이다.

-> 카드비밀번호를 묻는다면 무조건 바로 전화를 끊어야 한다

조심하고 또 조심해야 한다. 40대인 나도 순간 '헉' 했는데, 나보다 연령대가 있는 분들은 더 놀라서 스미싱 문자에 적힌 번호로 다짜고짜 전화할 수 있겠다는 생각이 들었다.

일단 의심스러운 번호로 연락이 왔다면, 당황하지 말고 차분하게 대응해야 한다. 의심스러운 번호가 문자에 적혀있다면 해당 번호로 전화하기보다 공식 웹사이트나 앱에 들어가서 확인하는 것을 추천한다.